Malware/Trojan Facebook

[bambo]

Witam. Dzisiaj moja głupota osiągnęła apogeum co zaskutkowało otworzeniem i uruchomieniem zawartości linka, który rozprzestrzenia się na Facebooku od dnia albo dwóch. (widzę, że wątek o podobnym problemie już powstał). Jako, że od razu doszło do mnie co zrobiłem, niezwłocznie postanowiłem naprawić swój błąd, czego pierwszym krokiem był instantowy reset systemu, który spowodował sprawdzenie spójności, niektórych danych, tudzież rejestrów. Po ponownym uruchomieniu komputera usunąłem plik, który pobrałem, następnie skorzystałem z Pc Safe Doctor i wykonałem skanowanie dysku, którego wynikiem było znalezienie nowego podejrzanego pliku w folderze:

"C:\Users\user\AppData\Local".

 

Owy plik usunąłem ręcznie, gdyż Doctor, z którego korzystałem umożliwiał jedynie wykonanie skanowania systemu. Uruchomiłem ponownie komputer i wykonałem kolejny skan. Niestety plik nadal znajdował się w tym folderze, co więcej program znalazł kolejny pod adresem:

"C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup".

 

Spróbowałem po raz kolejny usunąć oba pliki ręcznie. Po kolejnym restarcie systemu pliki nie pojawiły się ponownie. Postanowiłem wtedy skorzystać z kolejnego programu Malwarebytes Anti-Malwere. Wykonanie skanu tym programem wskazało infekcję związaną z przeglądarką Chrome:

"C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000424"

 

Program pozbył się tego pliku i w zasadzie w tym momencie nie byłem już w stanie dojść co po tym oprogramowaniu się ostało.

Na sam koniec, nie do końca przemyślawszy swoje działanie, skorzystałem z ComboFix, do czego przyznaję się bez bicia. Program wykonał skan i wykonał owego fixa, który ku memu zaskoczeniu spowodował, że po restarcie żaden program nie był wykonywalny i wyświetlała się komenda o niedozwolonej operacji i próbie usunięcia rejestru. Po ponowny restarcie problem zniknął.

Na moje nieszczęście dopiero po tych wszystkich przebojach dotarłem do tego forum, gdzie przeczytałem, że stosowanie tego programu, nie jest do końca wskazanym działaniem.

 

Oto niezbędne logi plus opcjonalny SecurityCheck:

- OTL http://wklej.org/id/778096/

- Extras http://www.wklej.org/id/778098/

 

 

Results of screen317's Security Check version 0.99.24

Windows 7 x64 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Microsoft VM for Java

Java™ 6 Update 31

Adobe Flash Player 11.3.300.257

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Malwarebytes' Anti-Malware mbamgui.exe

Malwarebytes' Anti-Malware mbam.exe

``````````End of Log````````````

 

 

Dodaję też od razu kolejno logi z przebiegu działania Malwarebyte, ComboFix oraz link do wstępnej analizy owego malware, który wygooglowałem (być może do czegoś się przyda):

- http://www.wklej.org/id/778106/

- http://www.wklej.org/id/778099/

- http://www.cyberbezp...lecznosciowego/

 

Mam nadzieje, że działanie ComboFix nie pogorszyło sprawy i w jakiś sposób nie pokiereszowało mojego rejestru. Dodam tylko, że program pojawiający się w logach o nazwie cacaoweb, traktowany jest przez każde oprogramowanie, jako szkodnik, przy czym był on przeze mnie stosowany do oglądania filmów z świętej pamięci Megavideo. Nazwa usuwanych przeze mnie ręcznie plików, o których mowa na początku była kompletnie randomowa typu xyz.exe. Jak dotąd nie odnotowałem objawów opisywanych w wyżej zamieszczonym linku z analizą malware, czyli być może moje działania przyniosły jakiś skutek. Niemniej nie wiem czy pozbyłem się w ten sposób wszystkiego oraz czy nie napsułem sobie czegoś korzystając z ComboFix.

 

Z góry dziękuję za wyrozumiałość do moich prób naprawienia wyrządzonych przez siebie szkód i proszę o pomoc.

Pozdrawiam.

[picasso]

(...) skorzystałem z Pc Safe Doctor i wykonałem skanowanie dysku, którego wynikiem było znalezienie nowego podejrzanego pliku (...) Owy plik usunąłem ręcznie, gdyż Doctor, z którego korzystałem umożliwiał jedynie wykonanie skanowania systemu.

 

Aplikacja PCSafeDoctor nie budzi zaufania i czym prędzej pozbądź się tego z systemu. Tu dodatkowa dyskusja: KLIK. Nawet jeśli program wykrył prawidłowo te trojany z Facebook, to stosuje ciosy poniżej pasa i taktykę charakterystyczną dla malware a nie programu zabezpieczającego (sic!):

 

1. "Darmowy" skan bez możliwości usuwania, a użytkownik dowiaduje się o tym w precyzyjnie odmierzonym momencie działającym na podświadomość, czyli pokazany zastraszający wynik i figa z makiem nakreślająca kierunek na opłaty.

 

2. Sugerowanie, że konkurencja jest infekcją, podważanie reputacji programu, którego reputacja jest właśnie bez zarzutu. Dziwne rzeczy w bazie danych i słowa kluczowe "MBAM" / "Malwarebytes" sklasyfikowane jako zagrożenie: KLIK / KLIK. Dla porównania sterownik w Twoim systemie, jak najbardziej prawidłowy:

 

DRV:64bit: - [2012/04/04 15:56:40 | 000,024,904 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)

 

Najbardziej zabawne jest jednak to, że program w bazie opisuje własny sterownik jako zagrożenie : KLIK.

 

3. Budzące poważne wątpliwości wyniki na czystym systemie (wirtualna fabryczna maszyna). Program pokazuje infekcję Trojan.Win32.Monderb.aprt na ... pliku systemowym C:\Windows\system32\pautoenr.dll. Oczywiście jeśli chcesz to usunąć ... musisz zapłacić.

 

4. Głupoty na stronie domowej. Zaiste, program wyprzedza w słupkach ESET czy Avirę.

 

Suma sumarum: program wygląda jak klasyczny fałszywy program "anty" jakich wiele w sieci, który jest na tyle perfidny, że przez małą inwazyjność i pewnego typu oprawę skanera pozoruje aplikację "bezpieczną" + "profesjonalną" i zaciemnia cel zasadniczy. Tym celem nie jest usunięcie infekcji z komputera.

 

 

Na sam koniec, nie do końca przemyślawszy swoje działanie, skorzystałem z ComboFix, do czego przyznaję się bez bicia. Program wykonał skan i wykonał owego fixa, który ku memu zaskoczeniu spowodował, że po restarcie żaden program nie był wykonywalny i wyświetlała się komenda o niedozwolonej operacji i próbie usunięcia rejestru. Po ponowny restarcie problem zniknął.

 

Ten rodzaj usterki występuje czasem po pierwszym restarcie po ukończeniu działania ComboFix. Ma charakter jednorazowy i ponowny restart przywraca wszystko do normy. Tak jak tu miało to miejsce.

 

 

Mam nadzieje, że działanie ComboFix nie pogorszyło sprawy i w jakiś sposób nie pokiereszowało mojego rejestru.

 

Nic poważnego się nie wydarzyło. Oceniając wyniki pracy, to m.in. został usunięty sterownik PCSafeDoctor (RKHit.sys):

 

 

 

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Ziemek\AppData\Local\assembly\tmp
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\auth.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\burnlib.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\dsp_sps.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\enc_aacplus.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\enc_flac.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\enc_lame.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\enc_vorbis.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\enc_wav.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\enc_wma.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_classicart.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_crasher.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_ff.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_find_on_disk.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_hotkeys.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_jumpex.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_ml.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_nopro.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_orgler.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_skinmanager.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_timerestore.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_tray.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\gen_undo.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_avi.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_cdda.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_dshow.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_flac.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_flv.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_linein.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_midi.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_mkv.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_mod.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_mp3.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_mp4.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_nsv.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_swf.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_vorbis.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_wav.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_wave.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_wm.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\in_wv.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_addons.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_autotag.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_bookmarks.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_disc.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_downloads.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_enqplay.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_history.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_impex.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_local.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_nowplaying.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_online.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_orb.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_playlists.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_plg.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_pmp.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_rg.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_transcode.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ml_wire.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\ombrowser.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\out_disk.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\out_ds.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\out_wave.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\playlist.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\pmp_activesync.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\pmp_android.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\pmp_ipod.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\pmp_njb.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\pmp_p4s.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\pmp_usb.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\tagz.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\vis_avs.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\vis_milk2.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\vis_nsfs.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\winamp.lng
c:\users\Ziemek\AppData\Local\Temp\WLZ322E.tmp\winampa.lng
c:\users\Ziemek\AppData\Roaming\cacaoweb
c:\users\Ziemek\AppData\Roaming\cacaoweb\cacaoweb.exe
c:\users\Ziemek\AppData\Roaming\cacaoweb\errorlog.txt
c:\users\Ziemek\AppData\Roaming\cacaoweb\npdfile.dat
c:\users\Ziemek\AppData\Roaming\cacaoweb\replicating3B57A48690C6E1ED3DA4E27A7E247CC0.cacao
c:\users\Ziemek\AppData\Roaming\cacaoweb\replicatingA8FCA64CB626D4E92A865B8A79AE4C97.cacao
c:\users\Ziemek\AppData\Roaming\cacaoweb\replicatingEFB4FDD039A51A862A8F33496C9777F5.cacao
c:\users\Ziemek\AppData\Roaming\cacaoweb\storage.db
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system\VI30AUT.DLL
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\SysWow64\drivers\RKHit.sys
D:\install.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_RkHit

 

 

 

Po nim płakać nie będziemy z powodów nakreślonych wcześniej, a system i tak go blokował ze względu na niezgodność:

 

Error - 6/22/2012 9:34:29 AM | Computer Name = Ziemek-Komputer | Source = Application Popup | ID = 1060
Description = Ładowanie sterownika \??\C:\windows\SysWow64\drivers\RKHit.sys zostało
 zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania
 w celu uzyskania zgodnej wersji sterownika.

 

Komentując pozostałe:

- Temp / Tmp = nic się nie stało, część z nich i tak zostałaby usunięta przeze mnie inną aplikacją, a te obiekty WinAmp się i tak regenerują.

- pkunzip.pif + pkzip.pif = pliki Total Commander. Prawdopodobnie były zerobajtowe i dlatego zostały usunięte.

- D:\install.exe przypuszczalnie nieszkodliwy. Niestety działa wbudowana rutyna ComboFix dedykująca infekcje z USB, która usuwa luźne EXE w root dysków, bez oceny bardziej szczegółowej co to za wykonywalny.

- cacaoweb komentuję poniżej

 

Możesz potwierdzić przynajmniej niektóre zaglądając do katalogu kwarantanny ComboFix, z pliku install usuń końcówkę vir i sprawdź Właściwości pliku, a te pliki TC oceń po rozmiarze.

 

 

Dodam tylko, że program pojawiający się w logach o nazwie cacaoweb, traktowany jest przez każde oprogramowanie, jako szkodnik, przy czym był on przeze mnie stosowany do oglądania filmów z świętej pamięci Megavideo. Nazwa usuwanych przeze mnie ręcznie plików była kompletnie randomowa typu xyz.exe.

 

Być może dlatego, że jest kolizja nazewnicza, a być może dlatego że istnieją jakieś instalacje wiązane. Bazy danych są rozbieżne. Pierwsze wystąpienie w bazie BleepingComputer oznaczone jako OK: KLIK. Ale tu już inny rodzaj (sugerujący instalacje wiązane): KLIK / KLIK / KLIK.

 

 

---

Podsumowując dostarczone raporty: nie widzę żadnych obiektów infekcji w stanie czynnym. Notuję tylko jedną dziwność, programowy katalog 32-bit utworzony ni w pięć ni w dziesięć w Roaming:

 

[2012/05/09 16:59:43 | 000,000,000 | ---D | M] -- C:\Users\Ziemek\AppData\Roaming\Program Files (x86)

 

Sprawdź co w nim jest. Moim zdaniem on do usunięcia. Przeprowadź też wykończenia:

 

1. PCSafeDoctor do całkowitej eliminacji.

 

2. Prawidłowa deinstalacja ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej: D:\Downloads\ComboFix.exe /uninstall

 

3. Czyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner.

 

4. I podaj log uzupełniający z Farbar Service Scanner (wszystkie opcje zaznaczone), gdyż notuję w Dzienniku zdarzeń taki oto błąd numer 126:

 

Error - 6/22/2012 5:29:13 PM | Computer Name = Ziemek-Komputer | Source = Service Control Manager | ID = 7023
Description = Usługa Windows Defender zakończyła działanie; wystąpił następujący
 błąd:   %%126

 

On sugeruje, że usługa Windows Defender ma nieprawidłowe dane i skierowanie na nieistniejący moduł 32-bit a nie 64-bit. Dla porównania temat: KLIK.

 

 

 

 

.

[bambo]

Możesz potwierdzić przynajmniej niektóre zaglądając do katalogu kwarantanny ComboFix, z pliku install usuń końcówkę vir i sprawdź Właściwości pliku, a te pliki TC oceń po rozmiarze.

 

Plik po uruchomieniu wywala błąd w postaci:

 

Required file install.ini not found. Setup will now exit.

 

Wnioskuję, że są to szczątki po jakiejś aplikacji. Z tego co pamiętam ten exek znajdował się od zawsze na moim dysku twardym, ale za nic nie mogę sobie przypomnieć, w którym momencie się tam znalazł.

 

Notuję tylko jedną dziwność, programowy katalog 32-bit utworzony ni w pięć ni w dziesięć w Roaming:

 

[2012/05/09 16:59:43 | 000,000,000 | ---D | M] -- C:\Users\Ziemek\AppData\Roaming\Program Files (x86)

 

 

Sprawdź co w nim jest. Moim zdaniem on do usunięcia. Przeprowadź też wykończenia:

 

W folderze znajduje się śmieć związany z aplikacją blueconnect do internetu bezprzewodowego, z której kiedyś korzystałem. Widać musiała być pod system 32 bitowy, stąd wziął się katalog. Faktycznie do wywalenia.

 

Doctor i Combo zostały usunięte oraz wyczyściłem tymczasowe. Oto uzupełniający log z FSS:

- http://wklej.org/id/778181/

[picasso]

Plik po uruchomieniu wywala błąd w postaci

 

Ale ... nie polecałam uruchamiać pliku (!), miałeś tylko zmienić mu nazwę i wejść do Właściwości z poziomu menu kontekstowego, by sprawdzić czy widać tam np. opis / sygnaturę producenta. W każdym razie objawy sugerują, że był to plik firmowy, nic szkodliwego. Nie jest on konieczny i stawiamy na nim krzyżyk.

 

 

W folderze znajduje się śmieć związany z aplikacją blueconnect do internetu bezprzewodowego, z której kiedyś korzystałem. Widać musiała być pod system 32 bitowy, stąd wziął się katalog. Faktycznie do wywalenia.

 

Chodziło mi bardziej o to, że lokalizacja folderu Program Files (x86) jest nienormalna, a nie o bity. Ten folder jest wprost na dysku C, a tu taki dziwoląg. Skasowanie zasadne, jakiś błąd instalatora musiał tu wystąpić.

 

 

Oto uzupełniający log z FSS

 

Log nie wykazuje, by tu był jakiś błąd. Czy przypadkiem już czegoś nie naprawiałeś samodzielnie?

 

 

.

[bambo]

Oprócz tego co opisywałem dotychczas nie podejmowałem nowych działań.

[picasso]

Może ComboFix to samoistnie skorygował. W podsumowaniu: nie widzę tu nic do naprawy. Na zakończenie:

 

1. Wykonaj drobne aktualizacje: KLIK. Tu z listy zainstalowanych wersje (sprawdź wtyczki Flash i Silverlight):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish
"{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}" = Skype™ 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

2. Prewencyjnie zmień hasła logowania w serwisach.

 

 

.

[bambo]

Bardzo dziękuję za rzetelną pomoc. Pozdrawiam.